X

Sie sind an Cloud Computing interessiert? Legen Sie jetzt los

Akamai logo
+1-8774252624
+1-8774252624
Anmelden
Control Center
Zugriff auf die Akamai Plattform
Cloud Manager
Verwaltung Ihrer Cloudressourcen
Akamai testen
Support bei Angriffen
Anmelden
Control Center
Zugriff auf die Akamai Plattform
Cloud Manager
Verwaltung Ihrer Cloudressourcen

Compliance der Informationssicherheit

Akamai beweist Engagement für unsere eigene Sicherheit, die unserer Kunden sowie die von Internet-Endnutzern auf der ganzen Welt. Dies tun wir durch die Einhaltung verschiedener globaler und regionaler Compliance-Programme für Informationssicherheit. Eine Zusammenfassung dieser Programme mit Links zu weiteren Ressourcen finden Sie weiter unten.

Erfahren Sie mehr über das Informationssicherheitsprogramm von Akamai.

Erfahren Sie mehr über den Datenschutz und die Datenschutzprogramme von Akamai

Global

PCI DSS

Payment Card Industry Data Security Standard

Weitere Informationen

SOC 2

System and Organization Controls 2, Typ 1 und 2

Weitere Informationen

ISO 27001

Internationale Organisation für Normung, Informationssicherheits-Managementsysteme

Weitere Informationen

ISO 27017

Internationale Organisation für Normung, Sicherheitskontrollen bei Public-Cloud-Services

Weitere Informationen

ISO 27018

Internationale Organisation für Normung, Datenschutzkontrollen bei Public-Cloud-Services

Weitere Informationen

ISO 27701

Internationale Organisation für Normung, Datenschutz-Managementsysteme

Weitere Informationen

ProcessUnity Global Risk Exchange (früher CyberGRX)

Risikoaustausch durch Dritte

Weitere Informationen

Regional

FedRAMP

Das Federal Risk and Authorization Management Program, amtliche Zulassung für Anbieter von Cloud-Services in den USA 

Weitere Informationen

HIPAA

Health Insurance Portability and Accountability Act, Geschützte Gesundheitsdaten

Weitere Informationen

Cyber Essentials

Cybersicherheitsstandard des britischen National Cyber Security Centre

Weitere Informationen

BSI

Bundesamt für Sicherheit in der Informationstechnik, zugelassener Anbieter kritischer Infrastruktur (KRITIS), Deutschland

Weitere Informationen
C5

C5

Bescheinigung für betriebliche Cloudsicherheit in Deutschland: Kriterienkatalog C5 Cloud Computing

Weitere Informationen

TISAX

Trusted Information Security Assessment Exchange (TISAX), der von der europäischen Automobilindustrie genutzt wird

Weitere Informationen

IRAP

Infosec Registered Assessors Program, Amtlicher Standard für Informationssicherheit in Australien

Weitere Informationen

PCI DSS Level 1

Übersicht

Die PCI-DSS-Compliance (Payment Card Industry Data Security Standard) ist eine Voraussetzung für alle Unternehmen, die Zahlungskartendaten speichern, verarbeiten und übertragen. Der von den wichtigsten Kreditkartenunternehmen entwickelte PCI-DSS-Standard definiert Regeln für die Sicherstellung des Datenschutzes sowie konsistente Sicherheitsprozesse und -verfahren im Zusammenhang mit Online-Finanztransaktionen. Das Regelwerk zur PCI-DSS-Compliance umfasst u. a. folgende, durch das PCI Security Standards Council formulierte Anforderungen:

  • Entwicklung und Durchsetzung einer Sicherheitsrichtlinie, die alle Aspekte des Geschäftsbetriebs abdeckt
  • Installation von Firewalls zum Datenschutz
  • Verschlüsselung von Karteninhaberdaten bei der Übertragung über öffentliche Netzwerke
  • Einsatz von Antivirensoftware und regelmäßige Updates
  • Einrichtung starker Kennwörter und anderer Cybersicherheitsprotokolle
  • Durchsetzung strenger Zugriffskontrollen und Überwachung des Zugriffs auf Kontodaten

Bei großen Handelsunternehmen und Serviceprovidern mit gewaltigen Mengen an Online-Finanztransaktionen wird die PCI-DSS-Compliance durch jährliche Validierungen sichergestellt, die von unabhängigen Sicherheitsgutachtern, den Qualified Security Assessors (QSA), durchgeführt werden. 

Ressourcen

PCI-Sicherheit

Akamai-Zertifizierung

Die Compliance-Bestätigung (Attestation of Compliance, AoC) dient für unsere Kunden als Beleg, dass die entsprechenden Services von Akamai die Anforderungen des Sicherheitsstandards PCI DSS v.4.0 erfüllen.

Zur Gewährleistung der PCI-DSS-Compliance lässt Akamai halbjährlich Penetrationstests der in unserer Bewertung inbegriffenen Systeme durch einen Drittanbieter durchführen. Die Ergebnisse dieser Penetrationstests sowie die Compliance-Dokumentation und/oder -Zertifizierung sind für Kunden im Rahmen einer Geheimhaltungsvereinbarung im Bereich „Download-Center“ des Kundenportals Akamai Control Center verfügbar.

Downloads/Links

Betroffene Akamai-Services

  • Sicheres CDN mit erweiterter TLS (Sicheres CDN) 
  • Content-Delivery-Produkte wie Ion, Dynamic Site Accelerator, API Acceleration und Adaptive Media Delivery, wenn sie auf dem sicheren CDN ausgeführt werden 
  • EdgeWorkers, wenn sie auf dem sicheren CDN ausgeführt werden 
  • mPulse Digital Performance Management Services 
  • App- und API-Sicherheitsprodukte wie App & API Protector, (inklusive des Add-ons „Malware Protection“), Account Protector, API Gateway, Cloudlets und Bot Manager (Standard und Premier), wenn sie auf dem sicheren CDN ausgeführt werden 
  • API Security (ehemals Noname Security)
  • API Security (ehemals Neosec)
  • Client-Side Protection & Compliance 
  • Audience Hijacking Protector
  • Secure Internet Access Enterprise (ehemals Enterprise Threat Protector) 
  • Akamai MFA
  • Akamai Guardicore Segmentation 
  • Die folgenden Cloud-Computing-Lösungen: Dedicated CPU, Shared CPU und High Memory

Fragen und Antworten

Ist Akamai nach PCI DSS zertifiziert?

Ja, Akamai ist als Serviceprovider nach PCI DSS Level 1 zertifiziert, der höchsten verfügbaren Bewertungsebene. Die Compliance-Bestätigung zu PCI DSS und die Zuständigkeitsmatrizen sind unter den obenstehenden Links verfügbar.

Wie kann ich beim Einsatz von Akamai auf meiner Website sicherstellen, dass Konformität nach PCI DSS vorhanden ist?

Kunden sind für ihre eigene PCI-DSS-Zertifizierung verantwortlich und sollten einen qualifizierten Sicherheitsbewerter (QSA) beauftragen, die jeweiligen Kontrollen zu validieren und eine Zertifizierung zu erhalten. Kunden und ihre QSAs können sich bei der Nutzung der PCI-DSS-konformen Services von Akamai auf die Compliance-Bestätigung von Akamai für den entsprechenden Bereich ihrer Umgebung für Karteninhaberdaten verlassen. In den Zuständigkeitsmatrizen von Akamai zu PCI DSS (siehe Links oben) werden die Verantwortlichkeiten von Akamai und unseren Kunden in Bezug auf die einzelnen PCI-DSS-Anforderungen erläutert. Unseren PCI DSS Customer Configuration Guide (PCI-DSS-Konfigurationshandbuch für Kunden) mit weiteren Einzelheiten finden Sie im Bereich „Download-Center“ des Kundenportals Akamai Control Center. Ihr Betreuungsteam kann es Ihnen ebenfalls zur Verfügung stellen.

Kann ich eine Zusammenfassung der vierteljährlichen durch genehmigte Scanninganbieter (Approved Scanning Vendor, ASV) bei Akamai durchgeführten Schwachstellen-Scans und externen Penetrationstests einsehen?

Ja. Ihr Betreuungsteam kann Ihnen diese Informationen gemäß der standardmäßigen Vertraulichkeitsvereinbarung (NDA) bereitstellen. Im Bereich „Download-Center“ des Kundenportals Akamai Control Center sind sie ebenfalls verfügbar.

Zurück zum Anfang

SOC 2

Übersicht

SOC (System and Organization Controls) ist ein vom American Institute of Certified Public Accountants (AICPA) festgelegter Sicherheitsstandard. Er umfasst Kontrollen, die sich direkt auf die Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Privatsphäre in Serviceunternehmen beziehen.

Ressourcen

AICPA SOC Suite of Services

Akamai-Compliance

Akamai erhält jährlich Berichte zu SOC 2 Typ 2, die belegen, dass unsere Sicherheitskontrollen im Laufe des Jahres kontinuierlich überprüft werden.

Betroffene Akamai-Services

Der SOC-2-Typ-2-Hauptbericht von Akamai deckt die Trust-Service-Grundsätze „Sicherheit“ und „Verfügbarkeit“ ab. Folgende Services von Akamai werden in diesem Bericht untersucht:

  • Sicheres CDN mit erweiterter TLS
  • DDoS-Abwehrservices von Prolexic
  • Kundenportal Akamai Control Center
  • Edge DNS
  • Global Traffic Management
  • Zusätzliche unterstützende Systeme für das Zugriffs- und Schlüsselmanagement und weitere Infrastruktursysteme.

Akamai Connected Cloud umfasst eine große Anzahl verteilter Systeme, die zu unterschiedlichen Zwecken genutzt werden und unsere verschiedenen Produkte und Services unterstützen. Das sichere CDN mit erweiterter TLS und die unterstützenden Systeme, die der Bericht untersucht, sind die verteilten Server und Systeme, mit denen Webressourcen bereitgestellt und geschützt werden, die vertrauliche Endnutzerdaten übermitteln oder verarbeiten. Die Services von Akamai, die auf dem sicheren CDN mit erweiterter TLS ausgeführt werden, nutzen die gesamte Bandbreite der Sicherheits- und Verfügbarkeitsprüfungen, die im SOC-2-Typ-2-Bericht untersucht werden. Zu den Services, die auf dem sicheren CDN mit erweiterter TLS ausgeführt werden, zählen unter anderem:

  • Content-Delivery-Produkte wie Ion und Dynamic Site Delivery, wenn sie auf dem sicheren CDN mit erweiterter TLS ausgeführt werden
  • App- und API-Sicherheitsprodukte wie App & API Protector, Kona Site Defender, Kona DDoS Defender, Web Application Protector und Bot Manager Standard, wenn sie auf dem sicheren CDN mit erweiterter TLS ausgeführt werden

Mit einem ergänzenden Bericht zu SOC 2 Typ 2 deckt Akamai die Trust-Service-Grundsätze „Sicherheit“ und „Verfügbarkeit“ in Bezug auf die folgenden Lösungen ab:

  • Bot Manager Premier
  • Account Protector

Der Bericht zu SOC 2 Typ 2 von Akamai für Akamai Guardicore Segmentation, API Security (ehemals NeoSec) und API Security (ehemals Noname Security) deckt die Trust-Service-Grundsätze „Sicherheit“, „Verfügbarkeit“ und „Vertraulichkeit“ ab.

Der Bericht zu SOC 2 Typ 2 von Akamai für den Service Akamai Identity Cloud deckt alle fünf Trust-Service-Grundsätze ab.

Mit einem Bericht zu SOC 2 Typ 1 deckt Akamai zudem die Trust-Service-Grundsätze „Sicherheit“ und „Verfügbarkeit“ in Bezug auf die folgenden Cloud-Computing-Services ab:

  • Computing:
    • Dediziertes CPU-Computing
    • Computing mit gemeinsam genutzter CPU
    • High-Memory-Computing
    • GPU-Computing
  • Storage:
    • Object Storage
    • Blockspeicher
    • Backups
  • Netzwerk:
    • Cloud-Firewalls
    • DDoS-Schutz
    • NodeBalancers
  • Entwicklertools:
    • API
  • Cloud Manager

Fragen und Antworten

Wie erhalte ich eine Kopie der SOC 2-Berichte?

Ihr Akamai-Betreuungsteam kann Ihnen Kopien bereitstellen. Im Bereich „Download-Center“ des Kundenportals Akamai Control Center sind die Berichte ebenfalls verfügbar.

Welche Regionen werden abgedeckt?

Die SOC-2-Berichte von Akamai decken die Services von Akamai als Ganzes ab und sind nicht auf bestimmte Regionen beschränkt.

Haben Sie ein Überbrückungsschreiben für die Zeit seit dem letzten abgedeckten Zeitraum?
Ihr Betreuungsteam kann Ihnen ein Überbrückungsschreiben über den Zeitraum seit der letzten Berichtsausgabe zukommen lassen.  

Verfügt Akamai über ein Compliance-Zertifikat zu SOC-2?
SOC 2 bietet kein Compliance-Zertifikat. Stattdessen erstellen qualifizierte Bewertungs-Drittanbieter einen Bericht zur Compliance des bewerteten Unternehmens. Dieser Bericht enthält eine Beschreibung des jeweiligen Systems, seines Umfangs und der Kontrollmechanismen zur Erfüllung der gängigen Kriterien, entsprechende Belege und eine Erörterung, ob die Beschreibungen und Belege des bewerteten Unternehmens angemessen sind. 

Warum gibt es verschiedene SOC-2-Berichte für Akamai?
Akamai bietet jetzt SOC-2-Berichte über die Services Identity Cloud, Akamai Guardicore Segmentation API Security und Cloud-Computing-Services. Diese Services sind das Ergebnis der jüngsten Übernahmen von Akamai. Bis auf weiteres hat sich Akamai dazu entschlossen, diese Berichte getrennt zu halten.  

Verfügt Akamai über einen SOC-1-Bericht?
Bei Akamai wird kein SOC-1-Audit durchgeführt. Der SOC-1-Bericht untersucht die internen Kontrollen eines Serviceproviders, die Einfluss auf die Finanzberichterstattung seiner Kunden haben könnten. Die Kunden von Akamai lagern keine Geschäftsprozesse an Akamai aus, die für ihre Finanzberichterstattung wesentlich sind. Daher ist ein SOC-1-Audit für die Services von Akamai nicht relevant.

Zurück zum Anfang

ISO/IEC 27001:2013

Übersicht

ISO 27001 ist eine internationale Norm für Informationssicherheits-Managementsysteme (ISMS). Sie bietet Unternehmen ein Framework für die sichere Verwaltung ihrer sensiblen Informationen und Daten zum Schutz vor unbefugtem Zugriff, Offenlegung, Vernichtung oder Verlust. Der Standard ist risikobasiert und enthält eine Reihe von Best Practices, Kontrollen und Prozessen, mit denen die Informationssicherheit gewährleistet wird. Er wird weltweit verwendet und gilt weithin als Maßstab für das Informationssicherheitsmanagement.

Ressourcen

ISO/IEC 27001:2013

Downloads/Links

Betroffene Akamai-Services

  • Ion (bei Konfiguration zur Ausführung auf dem sicheren CDN von Akamai mit erweitertem TLS)
  • Dynamic Site Accelerator (bei Konfiguration zur Ausführung auf dem sicheren CDN von Akamai mit erweitertem TLS)
  • App & API Protector (bei Konfiguration zur Ausführung auf dem sicheren CDN von Akamai mit erweitertem TLS)
  • API Acceleration (bei Konfiguration zur Ausführung auf dem sicheren CDN von Akamai mit erweitertem TLS)
  • Global Traffic Management 
  • Edge DNS
  • Secure Internet Access Enterprise (ehemals Enterprise Threat Protector)
  • Enterprise Application Access
  • Portal Akamai Control Center
  • Akamai Guardicore Segmentation
  • Akamai Identity Cloud
  • Private Access IoT
  • Private Access Edge
  • Secure Internet Access Mobile
  • Computing
    • Tarife für dedizierte CPUs
    • Tarife für gemeinsam genutzte CPUs
    • High-Memory-Tarife
    • GPU-Tarife
    • Linode Kubernetes Engine
  • Storage
    • Object Storage
    • Blockspeicher
    • Images
    • Backups
  • Netzwerk
    • NodeBalancers
  • Kostenlose gebündelte Cloud-Computing-Services
    • Kostenlose Sicherheits-, Netzwerk-, Wartungs- und Überwachungslösungen
  • Cloud Manager Portal

Fragen und Antworten

Wie erhalte ich eine Kopie der Anwendbarkeitserklärung von Akamai?

Zusätzlich zu dem oben angegebenen Zertifikat kann Ihr Akamai Account Team Ihnen eine Kopie der zugehörigen Anwendbarkeitserklärung zukommen lassen, die für alle unsere ISO-Zertifizierungen gilt. Im Bereich „Download-Center“ des Kundenportals Akamai Control Center ist sie ebenfalls verfügbar.

Zurück zum Anfang

ISO/IEC 27017:2015

Übersicht

ISO/IEC 27017:2015 enthält Richtlinien für Informationssicherheitskontrollen, die für die Bereitstellung und Nutzung von Cloud-Services gelten, indem zusätzliche Implementierungsrichtlinien und Kontrollmechanismen bereitgestellt werden, um die für ISO 27001 verwendeten und speziell auf Cloudservice-Provider und Cloudservice-Kunden zugeschnittenen Richtlinien und Kontrollen zu ergänzen.

Ressourcen

ISO/IEC 27017:2015

Downloads/Links

Betroffene Akamai-Services

  • Ion (bei Konfiguration zur Ausführung auf dem sicheren CDN von Akamai mit erweitertem TLS)
  • Dynamic Site Accelerator (bei Konfiguration zur Ausführung auf dem sicheren CDN von Akamai mit erweitertem TLS)
  • App & API Protector (bei Konfiguration zur Ausführung auf dem sicheren CDN von Akamai mit erweitertem TLS)
  • API Acceleration (bei Konfiguration zur Ausführung auf dem sicheren CDN von Akamai mit erweitertem TLS)
  • Global Traffic Management 
  • Edge DNS
  • Secure Internet Access Enterprise (ehemals Enterprise Threat Protector)
  • Enterprise Application Access
  • Portal Akamai Control Center
  • Akamai Guardicore Segmentation
  • Akamai Identity Cloud
  • Private Access IoT
  • Private Access Edge
  • Secure Internet Access Mobile
  • Computing
    • Tarife für dedizierte CPUs
    • Tarife für gemeinsam genutzte CPUs
    • High-Memory-Tarife
    • GPU-Tarife
    • Linode Kubernetes Engine (LKE)
  • Storage
    • Object Storage
    • Blockspeicher
    • Images
    • Backups
  • Netzwerk
    • NodeBalancers
  • Kostenlose gebündelte Cloud-Computing-Services 
    • Kostenlose Sicherheits-, Netzwerk-, Wartungs- und Überwachungslösungen
  • Cloud Manager Portal

Fragen und Antworten

Wie erhalte ich eine Kopie der Anwendbarkeitserklärung von Akamai?

Zusätzlich zu dem oben angegebenen Zertifikat kann Ihr Akamai Account Team Ihnen eine Kopie der zugehörigen Anwendbarkeitserklärung zukommen lassen, die für alle unsere ISO-Zertifizierungen gilt. Im Bereich „Download-Center“ des Kundenportals Akamai Control Center ist sie ebenfalls verfügbar.

Zurück zum Anfang

ISO/IEC 27018:2019

Übersicht

Dieser Standard bietet Anleitungen, um sicherzustellen, dass Cloud-Serviceprovider geeignete Informationssicherheitskontrollen anbieten, um die Privatsphäre der Kunden ihrer Kunden zu schützen, indem sie die ihnen anvertrauten personenbezogenen Daten (Personally Identifiable Information, PII) schützen.

Der Standard dient als Referenz für die Auswahl von PII-Schutzkontrollen bei der Implementierung eines auf ISO/IEC 27018 basierenden Cloud Computing Information Security Management System. Darüber hinaus sind Empfehlungen zur Implementierung von PII-Schutzkontrollen enthalten.

Ressourcen

ISO/IEC 27018:2019

Downloads/Links

Betroffene Akamai-Services

  • Ion (bei Konfiguration zur Ausführung auf dem sicheren CDN von Akamai mit erweitertem TLS)
  • Dynamic Site Accelerator (bei Konfiguration zur Ausführung auf dem sicheren CDN von Akamai mit erweitertem TLS)
  • App & API Protector (bei Konfiguration zur Ausführung auf dem sicheren CDN von Akamai mit erweitertem TLS)
  • API Acceleration (bei Konfiguration zur Ausführung auf dem sicheren CDN von Akamai mit erweitertem TLS)
  • Global Traffic Management 
  • Edge DNS
  • Secure Internet Access Enterprise (ehemals Enterprise Threat Protector)
  • Enterprise Application Access
  • Portal Akamai Control Center
  • Akamai Guardicore Segmentation
  • Akamai Identity Cloud
  • Private Access IoT
  • Private Access Edge
  • Secure Internet Access Mobile
  • Computing 
    • Tarife für dedizierte CPUs
    • Tarife für gemeinsam genutzte CPUs
    • High-Memory-Tarife
    • GPU-Tarife
    • Linode Kubernetes Engine
  • Storage
    • Object Storage
    • Blockspeicher
    • Images
    • Backups
  • Netzwerk
    • NodeBalancers
  • Kostenlose gebündelte Cloud-Computing-Services 
    • Kostenlose Sicherheits-, Netzwerk-, Wartungs- und Überwachungslösungen
  • Cloud Manager Portal

Fragen und Antworten

Wie erhalte ich eine Kopie der Anwendbarkeitserklärung von Akamai?

Zusätzlich zu dem oben angegebenen Zertifikat kann Ihr Akamai Account Team Ihnen eine Kopie der zugehörigen Anwendbarkeitserklärung zukommen lassen, die für alle unsere ISO-Zertifizierungen gilt. Im Bereich „Download-Center“ des Kundenportals Akamai Control Center ist sie ebenfalls verfügbar.

Zurück zum Anfang

ISO 27701:2019

Übersicht

ISO/IEC 27701:2019 ist ein von der Internationalen Organisation für Normung (ISO) und der International Electrotechnical Commission (IEC) veröffentlichter Informationssicherheitsstandard. Dieser erweitert das Informationssicherheits-Managementsystem (ISMS) nach ISO/IEC 27001 zum erweiterten Schutz der Privatsphäre im Zusammenhang mit der Verarbeitung personenbezogener Daten durch ein Managementsystem für Datenschutzinformationen (Privacy Information Management System, PIMS). Zur Einhaltung von ISO/IEC 27701 sind dokumentierte Nachweise dafür vorzulegen, wie die Verarbeitung personenbezogener Daten als Verarbeiter und/oder als Verantwortlicher gehandhabt wird.

Ressourcen

Downloads/Links

Betroffene Akamai-Services

  • Ion (bei Konfiguration zur Ausführung auf dem sicheren CDN von Akamai mit erweitertem TLS)
  • Dynamic Site Accelerator (bei Konfiguration zur Ausführung auf dem sicheren CDN von Akamai mit erweitertem TLS)
  • App & API Protector (bei Konfiguration zur Ausführung auf dem sicheren CDN von Akamai mit erweitertem TLS)
  • API Acceleration (bei Konfiguration zur Ausführung auf dem sicheren CDN von Akamai mit erweitertem TLS)
  • Global Traffic Management 
  • Edge DNS
  • Secure Internet Access Enterprise (ehemals Enterprise Threat Protector)
  • Enterprise Application Access
  • Portal Akamai Control Center
  • Akamai Guardicore Segmentation
  • Akamai Identity Cloud
  • Private Access IoT
  • Private Access Edge
  • Secure Internet Access Mobile
  • Computing 
    • Tarife für dedizierte CPUs
    • Tarife für gemeinsam genutzte CPUs
    • High-Memory-Tarife
    • GPU-Tarife
    • Linode Kubernetes Engine
  • Storage
    • Object Storage
    • Blockspeicher
    • Images
    • Backups
  • Netzwerk
    • NodeBalancers
  • Kostenlose gebündelte Cloud-Computing-Services 
    • Kostenlose Sicherheits-, Netzwerk-, Wartungs- und Überwachungslösungen
  • Cloud Manager Portal

Fragen und Antworten

Wie erhalte ich eine Kopie der Anwendbarkeitserklärung von Akamai?

Zusätzlich zu dem oben angegebenen Zertifikat kann Ihr Akamai Account Team Ihnen eine Kopie der zugehörigen Anwendbarkeitserklärung zukommen lassen, die für alle unsere ISO-Zertifizierungen gilt. Im Bereich „Download-Center“ des Kundenportals Akamai Control Center ist sie ebenfalls verfügbar.

Zurück zum Anfang

ProcessUnity Global Risk Exchange (früher CyberGRX)

Übersicht

Der ProcessUnity Global Risk Exchange (früher CyberGRX) bietet eine umfassende Sicherheitsbewertung für Unternehmen, die von Dritten validiert und Unternehmen zur Verfügung gestellt wird, um das Sicherheitsrisiko ihrer Anbieter zu bewerten.  

Ressourcen

Globaler Risikoaustausch

Akamai-Zertifizierung

Um auf den ProcessUnity-Bewertungsbericht von Akamai zuzugreifen, füllen Sie bitte dieses Formular aus

Downloads/Links

Seite von Akamai für den globalen Risikoaustausch

Zurück zum Anfang

FedRAMP (Federal Risk and Authorization Management Program)

Übersicht

Ein Compliance-Programm der US-Regierung, das Federal Risk and Authorization Management Program (FedRAMP), bietet einen standardisierten Ansatz für die Sicherheitsbewertung, Autorisierung und kontinuierliche Überwachung von Cloud-Produkten und -Services.

Im Rahmen von FedRAMP wurde ein zentraler Satz von Prozessen entwickelt und eingerichtet, um effektive und wiederholbare Cloud-Sicherheit für die US-Regierung zu gewährleisten. Dadurch wurde ein ausgereifter Markt geschaffen, um die Nutzung und Beliebtheit von Cloud-Diensten zu steigern.

Ressourcen

FedRAMP (Federal Risk and Authorization Management Program)

Akamai-Zertifizierung

Seit 2013 verfügt Akamai über eine provisorische Autorisierung des FedRAMP Joint Authorization Board (JAB) für die Auswirkungsebene „moderat“ für einen Infrastructure-as-a-Service-Anbieter (IaaS).

Downloads/Links

FedRAMP Marketplace-Seite von Akamai

Betroffene Akamai-Services

  • Das Content Delivery Network von Akamai für HTTP- und HTTPS-Bereitstellung (ESSL- und FreeFlow-Netzwerke) und darauf ausgeführte Services
  • Web Application Edge Protection wie App & API Protector und Kona Site Defender
  • Edge DNS (mit DNSSEC)
  • NetStorage
  • Medienstreaming-Services
  • Akamai Control Center
  • Global Traffic Management

Fragen und Antworten

Wie kann ich auf die FedRAMP-Dokumentation von Akamai zugreifen?

Kunden können das „Package Access Request Form“ von der FedRAMP Marketplace- Websiteherunterladen. 

Welche Auswirkungsstufe hat FedRAMP bei Akamai? 

Die FedRAMP-Autorisierung von Akamai erfolgte mit der Auswirkungsebene „moderat“. FedRAMP zufolgeumfasst ein System mit moderaten Auswirkungen „fast 80 % der CSP-Anwendungen, die FedRAMP-Autorisierung erhalten, und ist am besten für CSOs geeignet, bei denen der Verlust von Vertraulichkeit, Integrität und Verfügbarkeit schwerwiegende nachteilige Auswirkungen auf die Abläufe, Vermögenswerte oder Einzelpersonen einer Behörde haben würde. Schwerwiegende nachteilige Auswirkungen können erhebliche betriebliche Schäden an den Vermögenswerten der Behörde, finanzielle Verluste oder individuelle Schäden sein, bei denen es sich nicht um Verlust von Leben oder Sachwerten handelt.“

Bisher hat Akamai noch keine FedRAMP-Autorisierung für Auswirkungen auf hoher Ebene beantragt.

Zurück zum Anfang

HIPAA/HITECH

Übersicht

Im U.S. Health Insurance Portability and Accountability Act von 1996 (HIPAA) sind die Anforderungen für die Verarbeitung individuell identifizierbarer Gesundheitsinformationen durch Gesundheitsdienstleister und Versicherungsunternehmen festgelegt. 

Im Health Information Technology for Economic and Clinical Health Act von 2009 (HITECH) sind die Zugangsrechte zu Gesundheitsdaten und Mechanismen definiert, mit denen Patienten die Kontrolle über ihre Daten behalten können. Dieses Gesetz erweitert HIPAA, um den Austausch von elektronischen geschützten Gesundheitsinformationen (ePHI) sowie den Umfang von Datenschutz- und Sicherheitsschutzmaßnahmen gemäß HIPAA abzudecken. 

Ressourcen

Akamai-Compliance

Wenn Akamai von seinen Kunden im Gesundheitswesen für die Verarbeitung von Gesundheitsdaten engagiert wird, kann dies als ein Geschäftspartner-Verhältnis angesehen werden. Möglicherweise ist dann eine Geschäftspartner-Vereinbarung zwischen Akamai und dem Kunden im Gesundheitswesen erforderlich. Eine Kopie der standardmäßigen Geschäftspartner-Vereinbarung von Akamai ist auf Anfrage erhältlich.

Akamai unterzieht sich regelmäßigen Bewertungen durch Dritte gemäß der HIPAA-Sicherheitsregel. Diese schreibt vor, dass Geschäftspartner „eine genaue und gründliche Bewertung der potenziellen Risiken und Schwachstellen in Bezug auf die Vertraulichkeit, Integrität und Verfügbarkeit“ von ePHI im Besitz des Geschäftspartners durchführen. Die Zusammenfassung unserer neuesten Bewertung bzw. des zugehörigen Schreibens durch die Gutachter steht Akamai-Kunden und -Partnern unter dem Vorbehalt einer Vertraulichkeitsvereinbarung (NDA) zur Verfügung. 

Downloads/Links

Konformitätserklärung von Akamai zum HIPAA und HITECH Act

Betroffene Akamai-Services

  • Sicheres CDN mit erweiterter TLS (sicheres CDN) und den darauf ausgeführten Services
  • Content-Delivery-Produkte wie Ion, API Acceleration und Adaptive Media Delivery, wenn sie auf dem sicheren CDN ausgeführt werden
  • App- und API-Sicherheitsprodukte wie App & API Protector, Account Protector, Kona Site Defender und bot Manager (Standard und Premier), wenn sie auf dem sicheren CDN ausgeführt werden
  • API Security (ehemals Noname Security)
  • Akamai Guardicore Segmentation
  • Enterprise Application Access
  • Akamai Identity Cloud
  • Akamai Control Center
  • Computing 
    • Tarife für dedizierte CPUs
    • Tarife für gemeinsam genutzte CPUs
    • High-Memory-Tarife
    • GPU-Tarife
    • Linode Kubernetes Engine
  • Storage
    • Object Storage
    • Blockspeicher
    • Images
    • Backups
  • Netzwerk
    • NodeBalancers
  • Kostenlose gebündelte Cloud-Computing-Services 
    • Kostenlose Sicherheits-, Netzwerk-, Wartungs- und Überwachungslösungen
  • Cloud Manager Portal

Zurück zum Anfang

Cyber Essentials

Übersicht

Cyber Essentials ist ein umfassendes und vertrauenswürdiges Zertifizierungssystem, das von der britischen Regierung unterstützt wird und zum Schutz von Unternehmen jeder Größe vor einer Vielzahl häufiger Cyberangriffe entwickelt wurde. Der Standard basiert auf einer Reihe von Best Practices, durch deren Anwendung Unternehmen ihre Cybersicherheit verbessern können.

Mit Cyber Essentials können Unternehmen proaktive Maßnahmen ergreifen, um sich vor solchen Angriffen zu schützen. Durch die Einhaltung verschiedener Richtlinien können Unternehmen die Wahrscheinlichkeit, Opfer von Cyberkriminalität zu werden, erheblich reduzieren. Dazu gehören unter anderem Maßnahmen wie Firewalls, Malware-Schutz und sichere Netzwerkkonfiguration.

Die Cyber-Essentials-Zertifizierung von Akamai umfasst Folgendes:

  1. Standorte von Akamai auf dem Gebiet des Vereinigten Königreichs
  2. Mitarbeiter von Akamai und Geräte, die diese auf dem Gebiet des Vereinigten Königreichs nutzen
  3. Unternehmensservices, die von besagten Mitarbeitern genutzt werden, um Services für das Vereinigte Königreich zu erbringen
  4. Geräte und Workstations auf dem Gebiet des Vereinigten Königreichs, die für die im Vereinigten Königreich erbrachten Leistungen von Akamai genutzt werden

Ressourcen

Akamai-Compliance

Cyber-Essentials-Zertifikat von Akamai

Zurück zum Anfang

Bundesamt für Sicherheit in der Informationstechnik (BSI)
Zugelassener Anbieter für kritische Infrastruktur, Deutschland

Übersicht

Akamai erfüllt seit Juni 2017 die Anforderungen an Serviceprovider für kritische Infrastrukturen für die unternehmenseigenen Content Delivery Network Services in Deutschland, die vom BSI (Bundesamt für Sicherheit in der Informationstechnik) implementiert werden. Gemäß der zugrunde liegenden Gesetzgebung, dem BSI-Gesetz, lässt Akamai alle zwei Jahre ein Audit durch Dritte durchführen, um nachzuweisen, dass das System von Akamai durch angemessene technische und organisatorische Maßnahmen geschützt und bei seinen Services Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit gewährleistet sind.

Im Rahmen des Audits stellt Akamai Deutschland dem BSI Nachweise über seine hochmoderne Sicherheit zur Verfügung, die die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit seiner kritischen Systeme gewährleistet. Die Grundlage für diese Audits sind der Bericht von Akamai zu SOC 2 Typ 2, die ISO-27001-Bewertung und mehrere Audits vor Ort durch den Auditor in Rechenzentren in ganz Deutschland.

Neben der Klassifizierung von Akamai als Serviceprovider für kritische Infrastrukturen für seine Content-Delivery-Services hat das BSI mehrere Services von Akamai für Anwendungs- und Infrastruktursicherheit auch anderen Serviceprovidern für kritische Infrastrukturen empfohlen.

Ressourcen

Betroffene Akamai-Services

Akamai CDN, das alle Content-Delivery-Services von Akamai wie Ion und Dynamic Site Accelerator umfasst.

Zurück zum Anfang

C5 (Deutschland)

Übersicht

Das deutsche C5-Programm (Kriterienkatalog Cloud Computing) legt Mindestanforderungen für sicheres Cloud Computing fest und richtet sich in erster Linie an professionelle Cloudanbieter sowie deren Auditoren und Kunden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte 2016 die erste Fassung und 2019 eine komplett überarbeitete Fassung. 

Auf dem Markt und in der EU hat sich C5 als Grundlage für ein kundenspezifisches Risikomanagementsystem im Bereich Cloud-Computing-Services etabliert.

Ressourcen

Betroffene Akamai-Services

  • Computing:
    • Dediziertes CPU-Computing
    • Computing mit gemeinsam genutzter CPU
    • High-Memory-Computing
    • GPU-Computing
  • Storage:
    • Object Storage
    • Blockspeicher
    • Backups
  • Netzwerk:
    • Cloud-Firewalls
    • DDoS-Schutz
    • NodeBalancers
  • Entwicklertools:
    • API
  • Cloud Manager

Zurück zum Anfang

TISAX

Übersicht

Das TISAX-Programm (Trusted Information Security Assessment Exchange) bietet der europäischen Automobilindustrie und ihren Dienstleistern einen Standard zur Vereinheitlichung der Bewertungen von Informationssicherheitssystemen. Akamai hat diese Bewertung abgeschlossen und steht Kunden über das TISAX-Portal zur Verfügung. 

TISAX, geregelt durch die ENX Association im Auftrag der Deutschen VDA (Verband der Automobilindustrie) bietet ein einheitliches branchenspezifischen Sicherheits-Framework zur Bewertung der Informationssicherheit für die breite Landschaft von Zulieferern, OEMs und Partnern, die zur Lieferkette im Automobilsektor gehören.

Im Rahmen des Prozesses wird die Akamai Technologies GmbH (Garching, Deutschland) auf Bewertungsstufe 2 (Assessment Level, AL2) geprüft, d. h. sie wird anhand der geltenden Ziele bewertet und hat folgende Labels erhalten: Informationen mit hohem Schutz, Datenschutz gemäß Artikel 28 der EU-DSGVO („Auftragsverarbeiter“) und hoher Verfügbarkeit gemäß der Definition von TISAX. 

TISAX-Bewertungen werden von akkreditierten Prüfungsanbietern durchgeführt, deren Qualifikation in regelmäßigen Abständen nachgewiesen wird. TISAX-Ergebnisse können ausschließlich über das ENX-Portal abgerufen werden.

Wenn Sie ein bei ENX registrierter Branchenvertreter sind, finden Sie die Einzelheiten zur TISAX-Bewertung auf dem ENX-Portal abgerufen werden.

So greifen Sie auf die Bewertungsergebnisse von Akamai zu:

  • Melden Sie sich bei Ihrem bestehenden TISAX-Konto an und suchen Sie nach Akamai Technologies, Inc.
  • Alternativ können Sie die Suche anhand der folgenden Informationen eingrenzen:

ID der Akamai-Bewertung: ANFKLC-1

ID des Geltungsbereichs der Bewertungsstufe 2 (AL2): SYT6PR

Ressourcen

Zurück zum Anfang

IRAP (Australien)

Übersicht

Das australische Infosec Registered Assessors Program (IRAP) bietet Kunden der australischen Regierung eine Validierung, dass angemessene Sicherheitskontrollen gemäß dem Information Security Manual (ISM) der australischen Regierung vorhanden sind. Das ISM skizziert ein Cybersicherheits-Framework, das Unternehmen anwenden können, um ihre Daten und Systeme vor Onlinebedrohungen zu schützen.

Das ISM umfasst mehr als 870 Sicherheitskontrollen, die Sicherheitsanforderungen in mehr als 80 Bereichen definieren, z. B.:

  • Cybersicherheitsvorfälle
  • Systemhärtung
  • Sicherheitsmanagement
  • Patching
  • Kryptografie
  • Netzwerkdesign
  • Anwendungsentwicklung

Ressourcen

Akamai-Compliance

Akamai wird alle zwei Jahre von einem unabhängigen Prüfer auf die Einhaltung der im ISM definierten IRAP-Sicherheitskontrollen bewertet. Die Bewertung umfasst sowohl die Produktions- als auch die Unternehmensnetzwerkumgebungen von Akamai. Akamai wurde auf der IRAP-Stufe „Geschützt“ geprüft. Ein Schreiben, in dem die Fertigstellung der Bewertung durch den offizielle IRAP-Prüfer bestätigt wird, liegt vorbehaltlich der Geheimhaltungsvereinbarung (NDA) vor.

Weitere Informationen erhalten Sie bei Ihrem Betreuungsteam von Akamai.

Betroffene Akamai-Services

  • Sicheres CDN mit erweitertem TLS und den darauf ausgeführten Services
  • Edge-Bereitstellungsprodukte wie Ion und Dynamic Site Accelerator, wenn sie auf dem sicheren CDN mit erweiterter TLS ausgeführt werden
  • Bot Manager Standard und Premier
  • App- und API-Sicherheitsprodukte wie App & API Protector, Kona Site Defender, Web Application Protector, und Bot Manager, wenn sie auf dem sicheren CDN mit erweiterter TLS ausgeführt werden
  • Edge DNS
  • Global Traffic Manager

Zurück zum Anfang